Trojaner-Board - Rootkit problem - Wie krieg ich de Dreck weg?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rootkit problem - Wie krieg ich de Dreck weg? (https://www.trojaner-board.de/82985-rootkit-problem-krieg-de-dreck-weg.html)

Zitat:

Auf deutsch: Irgendein Spiel hat mir den Scheiß verursacht!?

Äh nein, so hab ich das nicht gemeint. :o
Das Spiel hat Dir sicherlich nicht das atapi-Rootkit beschert, aber die Einträge waren ja im GMER Log zu sehen. Gerade Kopierschutztreiber der Spiele nisten sich auf derartig "niedrige" Ebene ein, weil der Hersteller ja einen möglichst effektiven Kopierschutz haben will, den nicht mal eben jeder Laie aushebeln kann :blabla:

Ich denke dann sind alle Dateien soweit geklärt bis auf die spbs.sys.
Achso, und sptd und aln89xqi.SYS gehören zu den Daemon-Tools für virtuelle DVDROM-Laufwerke falls Du fragst ;)

Naja gut ich glaubs ich habs verstanden. spbs.sys ist böse, aber die anderen kann gmer einfach nur nicht leiden. UNd wohin hat sich sbps verkrochen?

MAlware bytes hat übrigens schon zwei sachen gefunden

Zitat:

spbs.sys ist böse, aber die anderen kann GMER einfach nur nicht leiden. UNd wohin hat sich sbps verkrochen?

Ob spbs.sys böse ist, kann ich noch nicht sagen, nur dass wir dahintergehen müssen. Meine Vermutung: Sie ist Bestandteil des Kopierschutztreibers, dann wäre sie nicht böse.

Die Tatsache das google spbs.sys nicht kennt drängt den gedanken dazu auf...
Soll ich jetzt einfach mal schauen was malwarebytes so findet und dann wegmachen?

Ich kann ja theoretisch ganz einfach rausfinden, ob ich noch ein Rootkit hab. Ich schließ einfach die Sicherheitslücke und wenn das Rootkit den Bootup lahmlegt, ist es ncoh da. Korrekt?

[edit] Könnte es sein dass das Resident Shiel von AVG die ganzen Virenscans verlangsamt?

1.) Lass erstmal Malwarebytes durchlaufen und poste dann das Ergebnis.
2.) Du wolltest Fahrenheit (testweise?) komplett deinstallieren. mach das mal, starte den Rechner neu und lass wieder GMER scannen. Wenn ithsgt und spbs oder nur noch die spbs.sys übrigbleibt, lässt das weitere Rückschlüsse zu.
3.) Du kannst auch mal (temporär) Daemontools deinstallieren. Dann sollte der SPTD Treiber weg sein, wenn spbs auch dazu gehört, der dann hoffentlich auch.

Ich kann im Moment nämlich selbst die Datei spbs.sys nix zuordnen, will wissen was das ist.
Was genau meinst Du mit Sicherehitslücke schließen? :confused:

Zitat:

Was genau meinst Du mit Sicherehitslücke schließen?

Sorry dass ichs noch nicht gesagt hab. Ich hatte das Problem, wie es im Link beschrieben ist. Ich hab mit Ubuntu das Update entfernt und der PC läuft wieder.

http://www.heise.de/newsticker/meldu...en-930043.html

Zitat:

2.) Du wolltest Fahrenheit (testweise?) komplett deinstallieren. mach das mal, starte den Rechner neu und lass wieder GMER scannen. Wenn ithsgt und spbs oder nur noch die spbs.sys übrigbleibt, lässt das weitere Rückschlüsse zu.

ICh wollte? oder sollte ich etwa? Schau ma mal.

Malwarebytes hat schon 120000 Dateien gescannt in der letzten Stunde.

ICh habe etwas sehr interessantes gefunden. ICh versuchte grade den residenten SChutz abzuschalten (es geht nicht) und hab in die history gekuckt und folgendes gefunden:

Code:



(reiter:) Infektion|Objekt|Ergebnis|Erkennungszeit|Objekttyp|Vorgang

"Trojaner: Rootkit-Agent.EF";"C:\WINDOWS\system32\drivers\atapi.sys";"Objekt befindet sich auf der Whitelist (wichtige Systemdatei, die nicht entfernt werden darf)";"16.02.2010, 20:26:06";"Datei";"D:\Programme\Trend Micro\HijackThis\HijackThis.exe"

"Trojaner: Rootkit-Agent.EF";"C:\WINDOWS\system32\drivers\atapi.sys";"Objekt befindet sich auf der Whitelist (wichtige Systemdatei, die nicht entfernt werden darf)";"12.02.2010, 12:46:21";"Datei";"C:\WINDOWS\system32\MRT.exe"

"Trojaner: Rootkit-Agent.EF";"C:\WINDOWS\system32\drivers\atapi.sys";"Objekt befindet sich auf der Whitelist (wichtige Systemdatei, die nicht entfernt werden darf)";"12.02.2010, 12:45:43";"Datei";"C:\WINDOWS\system32\MRT.exe"

"Trojaner: Rootkit-Agent.EF";"C:\WINDOWS\system32\drivers\atapi.sys";"Objekt befindet sich auf der Whitelist (wichtige Systemdatei, die nicht entfernt werden darf)";"11.02.2010, 22:39:42";"Datei";"C:\WINDOWS\system32\MRT.exe"

"Trojaner: Rootkit-Agent.EF";"C:\WINDOWS\system32\drivers\atapi.sys";"Objekt befindet sich auf der Whitelist (wichtige Systemdatei, die nicht entfernt werden darf)";"11.02.2010, 22:34:03";"Datei";"C:\WINDOWS\system32\MRT.exe"

"Trojaner: Rootkit-Agent.EF";"C:\WINDOWS\system32\drivers\atapi.sys";"Objekt befindet sich auf der Whitelist (wichtige Systemdatei, die nicht entfernt werden darf)";"11.02.2010, 22:33:32";"Datei";"C:\WINDOWS\system32\MRT.exe"

DAs allererste hab ich weggeklickt beim hijackthis, an die anderen kann ichmich nciht erinnern, ich schau mal nach mrt.exe und frag mich, wann ich das weggeklickt hab

Zitat:

Ich hab mit Ubuntu das Update entfernt und der PC läuft wieder.

Das Update kannst Du wieder einspielen, da es nur Probleme mit aktiven Rootkits gebracht hatte. Das Rootkit haben wir ja entfernt durch das Zurückkopieren der sauberen atapi.sys

Zitat:

ICh habe etwas sehr interessantes gefunden. ICh versuchte grade den residenten SChutz abzuschalten (es geht nicht) und hab in die history gekuckt und folgendes gefunden:

Ist ja auch logisch, dass er ein Rootkit gefunden hat ;)
Aber achte mal aufs Datum, gestern wurde über Linux die schädliche atapi.sys mit einer sauberen überschrieben und der 16. Feb ist der letzte Eintrag, also wie ich sagte: Rootkit weg! :)

Angenommen das rootkit hat mein avg nicht infiltriert & Avg erkennt ale rootkits. Wieso hab ich die hinweise nciht bemerkt? hab grad meine schwester gefragt, des am freitag muss sie gewesen sein. aber am donnerstag war ich am pc (hab zu dem zeitpunkt nen film gekuckt) und es sollten 3 Meldungen in 10 minuten gekommen sein.

Ist mein System jetzt also sauber? (abgesehen von dem scheiß was malwarebytes findet es sind immer noch nur zwei infizierte dateien)

[edit]
Das log ist fertig, es sind doch 5 dateien geworden. Ich wüsste nicht, dass bei den firewall einstellungen was verändert hab, ichm uss das mal prüfen.

Code:

Malwarebytes' Anti-Malware 1.44

Datenbank Version: 3752

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

17.02.2010 21:04:31

mbam-log-2010-02-17 (21-04-25).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 236812

Laufzeit: 1 hour(s), 37 minute(s), 45 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\wibb32.exe (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\nvvscv.exe (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SYSTEM32.dll (Trojan.Agent) -> No action taken.

[edit2] Ich hab nach geschaut. Es ist eingestellt, das ich darauf hingewiesen werde, wenn ein Programm geblockt wird. -> d.h.: disableNotify - disabled. Was ist daran jetzt "bad"?
Der andere Key sagt mir nix.
Ich lösch dann mal das Trojanerzeugs
[edit3] jetzt reboote ich gschwind

Ich kontrolliere immer mehrere Logfiles von verschiedenen Tools und frage immer nach dem Verhalten des Systems, dann lässt sich mE nach sehr gut abschätzen, ob die Gefahr etaiger Reste gegeben ist oder nicht. Wer sicher gehen will und/oder muss, dem bleibt nur Formatieren und anschießende Neuinstallation von Windows...oder Zurückspielen eines sauberen Images (kommt der Neuinstallation gleich)

Mach bitte noch ein Log mit CF, das Tool hatte ich anfangs erwähnt, wollte es aber ganz am Anfang noch nicht einsetzen (!)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kannst du bitte bei meinen ersten beiden logs noch bitte meinem Namen rausmachen? mir ist aufgefallen, dass ich das vergessen hab.

ComboFix lässt meinen PC mich ganz laut anpiepsen... Hab ich gar nicht gern.

Wieso ist denn die Systemwiederherstellungskonsole bei mir nichtinsatlliert naja egal.

Also combo fix ist feritg, hier ist das log.

COOL!!!!:Boogie: es hat die datei emergency room endlich gelöscht! die wahr schon monatelang bei mir auf dem Desktop! Kurz nachdem neuaufgestzt wurde hab ich aus Versehen das da downgeloadet und dann hab ich auf abbrechen gedrückt und irgendwie hats gelaggt, naja auf jjeden fall war da jetzt auf meinem desktop eine datei mit "0B" und ich hab sie nicht weggekriegt.
Aber wieso es Es search settings gelöscht ha tweiß ich net, da sist doch von MS Search und eigentlich in ordnung

Mir ist beim überfliegen aufgefallen, dass das da schon recht detaillierte daten sind, die nicht ganz jeder immer lesen können sollte, kannst du bitte es löschen/mir sagen dass ichs löschen soll , wenn dus durchgelesen/gespeichert hast?

Code:

ComboFix 10-02-16.03 - ***Computername*** 17.02.2010  21:38:48.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.160 [GMT 1:00]

ausgeführt von:: d:\downloads - firefox\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\*******\Desktop\Emergency Room S15 E05 

c:\dokumente und einstellungen\*******\Desktop\Emergency Room S15 E05

c:\programme\Search Settings

c:\programme\Search Settings\kb128\SearchSettings.dll

c:\programme\Search Settings\kb128\SearchSettingsRes409.dll

c:\programme\Search Settings\SearchSettings.exe

c:\windows\system32\twain_32.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-01-17 bis 2010-02-17  ))))))))))))))))))))))))))))))

.
 

2010-02-17 18:24 . 2010-02-17 18:24        --------        d-----w-        c:\dokumente und einstellungen\********\Anwendungsdaten\Malwarebytes

2010-02-17 18:24 . 2010-01-07 15:07        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-02-17 18:24 . 2010-02-17 18:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-02-17 18:24 . 2010-01-07 15:07        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-02-17 09:50 . 2010-02-17 09:15        96512        ------w-        c:\windows\system32\drivers\atapi.sys

2010-02-16 19:30 . 2009-08-04 20:56        2191488        ------w-        c:\windows\system32\ntoskrnl.exe

2010-02-16 19:30 . 2009-08-04 17:26        2068352        ------w-        c:\windows\system32\ntkrnlpa.exe

2010-02-16 19:30 . 2009-08-04 17:25        2026496        ------w-        c:\windows\system32\ntkrpamp.exe

2010-02-16 19:30 . 2009-08-04 17:26        2147840        ------w-        c:\windows\system32\ntkrnlmp.exe

2010-02-16 19:29 . 2009-08-04 20:56        2191488        ------w-        c:\windows\system32\dllcache\ntoskrnl.exe

2010-02-16 19:29 . 2009-08-04 17:26        2068352        ------w-        c:\windows\system32\dllcache\ntkrnlpa.exe

2010-02-16 19:29 . 2009-08-04 17:26        2147840        ------w-        c:\windows\system32\dllcache\ntkrnlmp.exe

2010-02-16 19:29 . 2009-08-04 17:25        2026496        ------w-        c:\windows\system32\dllcache\ntkrpamp.exe

2010-02-13 22:18 . 2010-02-13 22:18        --------        d-----w-        c:\programme\Adobe Media Player

2010-02-13 22:06 . 2010-02-13 22:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe AIR

2010-02-13 20:40 . 2010-02-13 20:40        --------        d-----w-        c:\programme\Adobe CS4

2010-02-12 12:34 . 2010-02-12 12:35        --------        d-----w-        c:\dokumente und einstellungen\*******\Anwendungsdaten\Facebook
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-17 15:00 . 2009-04-27 14:56        --------        d-----w-        c:\dokumente und einstellungen\*******\Anwendungsdaten\skypePM

2010-02-17 14:03 . 2009-08-02 18:14        --------        d-----w-        c:\dokumente und einstellungen\******\Anwendungsdaten\vlc

2010-02-17 13:40 . 2009-04-27 14:51        --------        d-----w-        c:\dokumente und einstellungen\****\Anwendungsdaten\Skype

2010-02-17 09:10 . 2009-07-17 21:09        --------        d-----w-        c:\dokumente und einstellungen\******\Anwendungsdaten\dvdcss

2010-02-16 19:37 . 2009-05-29 09:52        --------        d-----w-        c:\programme\Google

2010-02-13 22:19 . 2009-04-19 21:28        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2010-02-12 12:35 . 2010-02-12 12:35        50354        ----a-w-        c:\dokumente und einstellungen\******\Anwendungsdaten\Facebook\uninstall.exe

2010-02-11 21:31 . 2009-08-09 18:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2010-02-04 17:40 . 2009-04-14 17:01        --------        d-----w-        c:\programme\Wyzo

2010-02-03 21:37 . 2010-01-07 15:33        25        ----a-w-        c:\windows\popcinfot.dat

2010-02-02 19:26 . 2009-06-01 19:23        --------        d-----w-        c:\programme\Microsoft Silverlight

2010-02-01 22:04 . 2010-02-01 22:04        847040        ----a-w-        c:\dokumente und einstellungen\******\Anwendungsdaten\Facebook\axfbootloader.dll

2010-02-01 22:04 . 2010-02-01 22:04        5578752        ----a-w-        c:\dokumente und einstellungen\*****\Anwendungsdaten\Facebook\npfbplugin_1_0_1.dll

2010-02-01 17:54 . 2009-10-20 19:00        --------        d-----w-        c:\programme\qvPDF

2010-01-23 19:33 . 2009-12-16 15:18        --------        d-----w-        c:\programme\Nostale(DE)

2010-01-20 17:43 . 2009-05-15 12:34        1        ----a-w-        c:\dokumente und einstellungen\*****+\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-01-06 22:28 . 2010-01-06 22:28        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PopCap Games

2010-01-05 06:35 . 2009-04-13 19:08        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-12-31 16:50 . 2006-03-24 12:00        353792        ----a-w-        c:\windows\system32\drivers\srv.sys

2009-12-27 15:39 . 2009-04-19 09:21        138736        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys

2009-12-27 15:38 . 2009-04-19 09:20        188968        ----a-w-        c:\windows\system32\PnkBstrB.exe

2009-12-27 15:31 . 2009-07-06 15:56        --------        d-----w-        c:\programme\DivX

2009-12-22 11:30 . 2009-04-25 07:16        88712        ----a-w-        c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-12-21 19:05 . 2006-03-24 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2009-12-18 10:19 . 2010-02-04 17:39        545280        ----a-w-        c:\dokumente und einstellungen\******\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe

2009-12-18 10:19 . 2010-02-04 17:39        103424        ----a-w-        c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\libs\pixomatic.dll

2009-12-18 10:19 . 2010-02-04 17:39        344064        ----a-w-        c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe

2009-12-18 10:19 . 2010-02-04 17:39        153600        ----a-w-        c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll

2009-12-18 10:19 . 2010-02-04 17:39        4726272        ----a-w-        c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\libs\cooliris190.dll

2009-12-18 10:19 . 2010-02-04 17:39        57856        ----a-w-        c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\components\coolirisstub.dll

2009-12-17 07:40 . 2009-04-13 14:55        346624        ----a-w-        c:\windows\system32\mspaint.exe

2009-12-14 07:08 . 2006-03-24 12:00        33280        ----a-w-        c:\windows\system32\csrsrv.dll

2009-12-12 09:14 . 2006-03-24 12:00        94930        ----a-w-        c:\windows\system32\perfc007.dat

2009-12-12 09:14 . 2006-03-24 12:00        486494        ----a-w-        c:\windows\system32\perfh007.dat

2009-12-04 18:22 . 2006-03-24 12:00        455424        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2009-11-27 17:11 . 2006-03-24 12:00        1297408        ----a-w-        c:\windows\system32\quartz.dll

2009-11-27 17:11 . 2004-08-04 00:57        17920        ----a-w-        c:\windows\system32\msyuv.dll

2009-11-27 16:08 . 2006-03-24 12:00        85504        ----a-w-        c:\windows\system32\avifil32.dll

2009-11-27 16:08 . 2006-03-24 12:00        28672        ----a-w-        c:\windows\system32\msvidc32.dll

2009-11-27 16:08 . 2006-03-24 12:00        11264        ----a-w-        c:\windows\system32\msrle32.dll

2009-11-27 16:08 . 2004-08-04 00:57        48128        ----a-w-        c:\windows\system32\iyuv_32.dll

2009-11-27 16:08 . 2001-08-18 04:54        8704        ----a-w-        c:\windows\system32\tsbyuv.dll

2009-11-26 22:15 . 2009-08-05 11:59        166053        ----a-w-        c:\windows\hpwins05.dat

2009-11-21 15:54 . 2006-03-24 12:00        471552        ----a-w-        c:\windows\AppPatch\aclayers.dll

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-24 5537792]

"C-Media Echo Control"="c:\programme\PCI Audio Applications\Bin\EchoCtrl.exe" [2001-12-05 147456]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-12-13 2043160]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-08-19 10:01        11952        ----a-w-        c:\windows\system32\avgrsstx.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]

2005-08-05 11:34        64512        ----a-w-        c:\windows\ehome\ehtray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

2008-10-25 10:44        31072        ----a-w-        c:\programme\Microsoft Office\Office12\GrooveMonitor.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2006-12-10 19:52        49152        ----a-w-        d:\programme\HP\HP Software Update\hpwuSchd2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2005-02-24 15:32        86016        ----a-w-        c:\windows\system32\nvmctray.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2005-02-24 15:32        1495040        ----a-w-        c:\windows\system32\nwiz.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"odserv"=3 (0x3)

"JavaQuickStarterService"=2 (0x2)

"gusvc"=2 (0x2)

"gupdate1c9e0438fff1710"=2 (0x2)

"WMPNetworkSvc"=3 (0x3)

"ose"=3 (0x3)

"Microsoft Office Groove Audit Service"=3 (0x3)

"FLEXnet Licensing Service"=3 (0x3)

"FirebirdServerMAGIXInstance"=3 (0x3)

"Bonjour Service"=2 (0x2)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=

"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=

"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=

"c:\\Programme\\Wyzo\\wyzo.exe"=

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"d:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"d:\\Save\\Games\\Serious Sam 2\\Bin\\DedicatedServer.exe"=

"d:\\Programme\\Counter-Strike 1.6\\hl.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

"d:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\WINDOWS\\system32\\spoolsv.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Programme\\Metin 2\\metin2.bin"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"d:\\Programme\\Stronghold\\Stronghold_Crusader_Extreme.exe"=

"\\\\MICHAEL-PC\\EXT FESTPLATTE\\Games MichaelPc\\Counter-Strike Source\\hl2.exe"=

"d:\\Programme\\Counter-Strike Source\\hl2.exe"=

"d:\\Programme\\Call of Duty 2\\CoD2MP_s.exe"=

"d:\\Programme\\Mozilla Firefox\\firefox.exe"=

"d:\\Programme\\TC UP\\PLUGINS\\Media\\MirandaIM\\miranda32.exe"=

"d:\\Programme\\xampp\\apache\\bin\\httpd.exe"=

"d:\\Programme\\xampp\\mysql\\bin\\mysqld.exe"=

"d:\\Programme\\Eclipse\\eclipse\\eclipsec.exe"=

"d:\\Programme\\Eclipse\\eclipse\\eclipse.exe"=

"d:\\Programme\\Miranda IM\\miranda32.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"d:\\Downloads - mt\\Yu-Gi-Oh Power Of Chaos trilogy\\Joey\\joey_pc.exe"=

"d:\\Programme\\MC2\\Sniper Elite\\SniperElite.exe"=

"d:\\Downloads - Firefox\\winscp425.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"5353:TCP"= 5353:TCP:Adobe CSI CS4
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.04.2009 17:04 721904]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [14.04.2009 17:00 335240]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [14.04.2009 17:00 108552]

R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [13.01.2006 14:00 15872]

R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [14.04.2009 17:00 908056]

R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [14.04.2009 17:00 297752]

R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [29.10.2009 12:27 1074568]

R2 supersafer;supersafer;c:\windows\system32\drivers\supersafer.sys [17.09.2009 20:14 354176]

S2 gupdate1c9e0438fff1710;Google Update Service (gupdate1c9e0438fff1710);c:\programme\Google\Update\GoogleUpdate.exe [29.05.2009 10:55 133104]

S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [25.01.2008 10:12 25088]

S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\programme\MAGIX\MusicMaker14PE_Download_version\Common\Database\bin\fbserver.exe [19.04.2009 12:16 1527900]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

HPService        REG_MULTI_SZ           HPSLPSVC

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

Inhalt des "geplante Tasks" Ordners
 

2010-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-29 09:54]
 

2010-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-29 09:54]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\**\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\

FF - prefs.js: browser.search.selectedEngine - dict.cc en<->de

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - plugin: c:\dokumente und einstellungen\**\Anwendungsdaten\Facebook\npfbplugin_1_0_1.dll

FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll

FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npjp2.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll

FF - plugin: d:\programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

 .

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - c:\programme\Search Settings\kb128\SearchSettings.dll

Toolbar-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - c:\programme\Dealio Toolbar\DealioToolbarIE.dll

HKLM-Run-Cmaudio - cmicnfg.cpl

Notify-WgaLogon - (no file)

AddRemove-Advanced Strategic Command - d:\programme\ASC\uninstall.exe

AddRemove-Gothic II - d:\progra~1\JoWooD\GOTHIC~1\UNWISE.EXE

AddRemove-myAC.Client_is1 - d:\programme\myAC_GERAS\unins000.exe

AddRemove-PDFTiger_is1 - d:\programme\PDFTiger\unins000.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-17 21:52

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys spit.sys >>UNKNOWN [0x82391938]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf858af28

\Driver\ACPI -> ACPI.sys @ 0xf83d3cb8

\Driver\atapi -> sfsync02.sys @ 0xf85578b4

IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9

 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9

 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15

NDIS: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC -> SendCompleteHandler -> NDIS.sys @ 0xf825fbd4

 PacketIndicateHandler -> NDIS.sys @ 0xf826ba21

 SendHandler -> NDIS.sys @ 0xf825fd44

user & kernel MBR OK 
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(2564)

c:\windows\system32\wpdshext.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\Audiodev.dll

c:\windows\system32\WMVCore.DLL

c:\windows\system32\WMASF.DLL

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll

d:\programme\Tracker Software\Shell Extensions\XCShInfo.dll

c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe

c:\windows\eHome\ehRecvr.exe

c:\windows\eHome\ehSched.exe

c:\progra~1\AVG\AVG8\avgrsx.exe

c:\progra~1\AVG\AVG8\avgnsx.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\windows\ehome\mcrdsvc.exe

c:\programme\AVG\AVG8\avgcsrvx.exe

c:\windows\system32\SearchIndexer.exe

c:\windows\system32\RunDll32.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\SearchProtocolHost.exe

c:\windows\system32\dllhost.exe

d:\programme\Mozilla Firefox\firefox.exe

c:\windows\system32\SearchFilterHost.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-02-17  21:58:21 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-02-17 20:57
 

Vor Suchlauf: 8 Verzeichnis(se), 12.749.893.632 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 17.715.933.184 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 485C24D09645AE3C96A562C7578F33AE

Ich kann nichts editieren, bin weder Mod noch Admin :D
Melde Deinen Beitrag (neben Online-Status) mit ner kleinen Beschreibung

Zitat:

c:\\Programme\\Wyzo\\wyzo.exe

Kennst Du das? :rolleyes:

Ansonsten seh ich da nichts Aufälliges. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Guten MOrgen:kaffee:
Wyzo ist ein auf Firefox basierender Browser von Radical Software.
Ich habe doch erst gestern ein Malwarebytes scan gemacht... na gut ,dann mach ich halt noch einen...
Seitdem ich Combofix laufen hat kommt nach dem login immer ca. 1 min. lang "Computer ist evtl. nicht geschützt. Win Firewall ist deaktiviert." Früher war sie immer von anfang an aktiviert.
Außerdem hab ich noch ein Problemchen ein sehr kleines problemchen
Seitdem ich nicht mehr Wyzo benütze kommt bei Firefox manchmal beim Start ne Tracking cookie Warnung von resident shield. Manchmal, nicht immer direkt nach dem Booten, normalerweise nicht hintereinander, aber sehr unregelmäßig & oft ca. einmal pro tag. ich schieb den immer in quarantäne, aber der das verlangsamt den firefox start doch sehr. Aber trotzdem kann ich machen was ich will, das Teil kommt immer wieder. Wie krieg ich das weg? ein tracking cookie bringt mich nicht um, weil ich kein online banking mach und bis jetzt wurde keiner meiner accounts gehackt, bzw. haben spam verschickt.
welche Add-ons oder webseiten könnten es verursachen? Habe folgende Add-ons: firegestures, java quick starter, MS .net framework assistant, search preview, skipscreen, smart bookmarks toolbar. Hab nur die default theme & folgende plugins: Adobe acrobat, Divx player netscape plugin, divx web player, facebook, google earth, google update, java platform se 6 u13, java platform se 6 u15, pdf x-change viewer, shockwave flash, shockwave for director, silverlight plugin, vlc multimedia, win presentation foundation.

Hier mal ein teil vom log vom resident shield. Manchmal sind es andere tracking cookies. DAs geht schon so seit anfang november. Mir ist grad aufgefallen, wyzo hatte auch solche meldungen (die gleiche datei am gleichen ort). Aber nur einmal pro woche. Ich check mal meine browserchronik, ob ich irgendwelche bösen seiten zu der zeit besucht hab.

Code:

"Tracking cookie.Webtrends gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"17.02.2010, 21:23:18";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe"

"Tracking cookie.Ivwbox gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"17.02.2010, 19:12:13";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe"

"Tracking cookie.Ivwbox gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"17.02.2010, 17:36:24";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe"

"Tracking cookie.Ivwbox gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"17.02.2010, 11:02:53";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe"

"Trojaner: Rootkit-Agent.EF";"C:\WINDOWS\system32\drivers\atapi.sys";"Objekt befindet sich auf der Whitelist (wichtige Systemdatei, die nicht entfernt werden darf)";"16.02.2010, 20:26:06";"Datei";"D:\Programme\Trend Micro\HijackThis\HijackThis.exe"

"Tracking cookie.Ivwbox gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"16.02.2010, 19:49:01";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe"

"Tracking cookie.Ivwbox gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"13.02.2010, 19:53:26";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe"

"Tracking cookie.Yieldmanager gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"13.02.2010, 10:27:55";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe"

"Tracking cookie.Ivwbox gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"12.02.2010, 19:33:06";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe"

[edit] ICh hab grad meine History überflogen, etwas total auffälliges war da nicht. Nur die Seiten, die ich & meine Schwester oft benütze, Google, Wikipedia & Facebook. Aber gestern hat firefox ja alle zwei Stunden was gehabt und so oft war ich auf keiner einzelnen seite (außer tojaner board *hahaha*).

Malwarebytes hat nix gefunden:

Code:

Malwarebytes' Anti-Malware 1.44

Datenbank Version: 3752

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

18.02.2010 12:18:56

mbam-log-2010-02-18 (12-18-56).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 228358

Laufzeit: 56 minute(s), 49 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

[edit] Übrigens hab ich die Sicherheitslücke gestern damit geschlossen: http://support.microsoft.com/kb/979682

Zitat:

c:\programme\Adobe CS4

Ähm, arbeitest u eigentlich beruflich am Rechner? Ne CS4-Suite ist nicht gerade billig :rolleyes:

Zitat:

ca. 1 min. lang "Computer ist evtl. nicht geschützt. Win Firewall ist deaktiviert." Früher war sie immer von anfang an aktiviert.

Sie ist aber definitiv an oder? Evtl. startet der Firewalldienst etwas verzögert, sieh mal im Ereignisprotokoll nach. Sie ist aber schon aktiv oder? Evtl. hat auch "nur" das Sicherheitscenter ne Macke...

Zitat:

Seitdem ich nicht mehr Wyzo benütze kommt bei Firefox manchmal beim Start ne Tracking cookie Warnung von resident shield.

Lösch einfach mal alle Cookies. Oder zumindest die von ivwbox etc. - Cookies sind aber idR keine Bedrohung! Du kannst eine Ausnahme hinzufügen, so dass diese vom FF nicht mehr zugelassen werden. Verwendest Du Adblock Plus und NoScript für den FF?

Zitat:

Ähm, arbeitest u eigentlich beruflich am Rechner? Ne CS4-Suite ist nicht gerade billig

UNter anderem ja :cool:, is aber nur die trialversion von dreamweaver CS4...

Zitat:

sieh mal im Ereignisprotokoll nach.

Ähh, Er-eig-nis-pro-to-koll? :confused: wosn des?

Zitat:

Adblockplus benütz ich wie gesagt, aber noscript nett, denn ich mag ja scripts, programmiere ja selber webseiten. Oder ist noscript ein addon, das nur "böse" scripts blockt?
Um die Cokkies kümmer ich mal, aber dir ist schon aufgefallen, dass das eine .sqlite datei is (whatever this means), und nichht irgendein stinknormaler Cookie im Cookieordner?

[edit] Hab mal die unnötigen Cookies gelöscht. War auch was von m.webtrends.com dabei (darüber hat sich avg grad wieder beschwert). aber kein ivwbox, auch kein doubleklick.net (das sind die fiesesten, die haben iwas mit googleads zu tun) liegt wohl an adblockplus :applaus:
Ich auch die checkbox "cookies von drittanbieteern nicht erlauben" gecheckt. Das heißt ja dass nur die Seiten, die ich wirklich besuche, cookies speichern dürfen und alle andern nicht, oder?